信息系統(tǒng)安全等級保護定級備案講義_第1頁
信息系統(tǒng)安全等級保護定級備案講義_第2頁
信息系統(tǒng)安全等級保護定級備案講義_第3頁
信息系統(tǒng)安全等級保護定級備案講義_第4頁
信息系統(tǒng)安全等級保護定級備案講義_第5頁
已閱讀5頁,還剩42頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

信息系統(tǒng)安全等級保護定級立案信息系統(tǒng)安全等級保護定級備案講義第1頁信息系統(tǒng)安全等級保護定級指南主要內(nèi)容引言第一部分:等級保護定級概述第二部分:掌握信息系統(tǒng)實際情況第三部分:確定定級對象第四部分:定級方法第五部分:初步定級第六部分:評審、確定與審批第七部分:等級調整第八部分:立案工作第九部分:問題解答信息系統(tǒng)安全等級保護定級備案講義第2頁引言 為推進我國信息安全等級保護工作開展,十多年來,在公安部領導和支持下,在國內(nèi)相關教授、企業(yè)共同努力下,全國信息安全標準化技術委員會和公安部信息系統(tǒng)安全標準化技術委員會組織制訂了信息安全等級保護工作需要一系列標準,形成了比較完整信息安全等級保護標準體系,為開展信息安全等級保護工作提供了標準保障。引言信息系統(tǒng)安全等級保護定級備案講義第3頁定級政策《關于開展全國主要信息系統(tǒng)安全等級保護定級工作通知》(公通字[]861號)。引言信息系統(tǒng)安全等級保護定級備案講義第4頁定級標準《信息系統(tǒng)安全等級保護定級指南》和信息系統(tǒng)安全等級保護行業(yè)定級細則為確定信息系統(tǒng)安全保護等級提供支持。《信息系統(tǒng)安全等級保護定級指南》(GB/T22240-)信息系統(tǒng)安全等級保護行業(yè)定級細則引言信息系統(tǒng)安全等級保護定級備案講義第5頁信息系統(tǒng)安全保護等級第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其它組織正當權益造成損害,但不損害國家安全、社會秩序和公共利益。第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其它組織正當權益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第一部分等級保護定級概述第一部分:等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第6頁第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成尤其嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統(tǒng)受到破壞后,會對國家安全造成尤其嚴重損害。第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第7頁定級普通流程第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第8頁行業(yè)系統(tǒng)定級工作指導意見提出各個行業(yè)職能存在差異信息系統(tǒng)所發(fā)揮作用依據(jù)不一樣行業(yè)存在較大差異不一樣行業(yè)信息系統(tǒng)被破壞后對國家和社會危害不盡相同各行業(yè)主管部門能夠從行業(yè)整體出發(fā),從宏觀上更加好把握本行業(yè)內(nèi)各運行單位信息系統(tǒng)定級工作第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第9頁指導意見依據(jù)《管理方法》第十條:信息系統(tǒng)運行、使用單位應該依據(jù)本方法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)安全保護等級。有主管部門,應該經(jīng)主管部門審核同意。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行信息系統(tǒng)能夠由主管部門統(tǒng)一確定安全保護等級。依據(jù)《關于開展全國主要信息系統(tǒng)安全等級保護定級工作通知》(以下簡稱《定級通知》)要求:各行業(yè)主管部門要依據(jù)行業(yè)特點提出指導當?shù)赜?、本行業(yè)定級工作指導意見。第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第10頁行業(yè)定級工作指導意見意義:愈加好落實落實《管理方法》使本行業(yè)實施等級保護工作政策和方針目標性愈加明確有利于本行業(yè)制訂定級工作階段計劃有利于統(tǒng)一本行業(yè)對定級要素賦值規(guī)范第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第11頁認真調查,掌握信息系統(tǒng)實際情況 全方面掌握信息系統(tǒng)(包含信息網(wǎng)絡)業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況,第二部分掌握實際情況第二部分:掌握信息系統(tǒng)實際情況信息系統(tǒng)安全等級保護定級備案講義第12頁第三部分確定定級對象定級對象基本特征定級對象確實定方法科學、合理確定定級對象確定定級對象舉例第三部分:確定定級對象信息系統(tǒng)安全等級保護定級備案講義第13頁第三部分確定定級對象定級對象基本特征:含有唯一確定安全責任主體

作為定級對象信息系統(tǒng)應能夠唯一地確定其安全責任單位。(含有唯一確定安全責任單位)含有信息系統(tǒng)基本要素作為定級對象信息系統(tǒng)應該是由相關和配套設備、設施按照一定應用目標和規(guī)則組合而成有形實體。信息系統(tǒng)安全等級保護定級備案講義第14頁定級對象基本特征:承載單一或相對獨立業(yè)務應用定級對象承載“單一”業(yè)務應用是指該業(yè)務應用業(yè)務流程獨立,且與其它業(yè)務應用沒有數(shù)據(jù)交換,且獨享全部信息處理設備。定級對象承載“相對獨立”業(yè)務應用是指其業(yè)務應用主要業(yè)務流程獨立,同時與其它業(yè)務應用有少許數(shù)據(jù)交換,定級對象可能會與其它業(yè)務應用共享一些設備,尤其是網(wǎng)絡傳輸設備。第三部分確定定級對象只有同時滿足上述三個條件,才可由本單位對信息系統(tǒng)進行定級信息系統(tǒng)安全等級保護定級備案講義第15頁第三部分確定定級對象定級對象確實定方法:從管理機構角度劃分從業(yè)務類型角度劃分從相同物理位置和相同運行環(huán)境劃分信息系統(tǒng)安全等級保護定級備案講義第16頁科學、合理確定定級對象要把握以下幾個標準:一是以相對獨立應用系統(tǒng)為定級對象。二是確認負責定級單位是否含有對所定級系統(tǒng)安全責任。三是確定定級對象方法允許各種多樣。第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第17頁確定定級對象舉例一、識別和描述定級對象識別基本信息、管理框架、業(yè)務種類和業(yè)務流程、信息資產(chǎn)、網(wǎng)絡結構、軟硬件設備、用戶類型和分布,描述單位基本信息。二、劃分定級對象分析安全管理責任,確定管理邊界;分析網(wǎng)絡結構和已經(jīng)有內(nèi)外部邊界;分析業(yè)務流程和業(yè)務間關系;初步劃定信息系統(tǒng),確定定級對象。第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第18頁三、識別和劃分定級對象中難點影響定級要素賦值產(chǎn)生不一樣原因系統(tǒng)所包括客體不一樣系統(tǒng)對客體造成損害程度不一樣系統(tǒng)處理業(yè)務類型不一樣本身運行在不一樣網(wǎng)絡環(huán)境中系統(tǒng)分不開系統(tǒng),按照高級別保護第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第19頁四、系統(tǒng)邊界劃分注意事項不一樣信息系統(tǒng)共用設備普通是網(wǎng)絡/邊界設備或終端設備。兩個信息系統(tǒng)邊界存在共用設備安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定管理終端與被管理對象相對應,被管理對象屬于哪個系統(tǒng),終端就應屬于該信息系統(tǒng)一部分處理涉密信息終端必須劃分到對應信息系統(tǒng)中,且不能與非涉密系統(tǒng)共用終端。第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第20頁確定定級對象舉例第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第21頁 受侵害信息系統(tǒng)安全保護等級由兩個要素決定:等級保護對象受到破壞時所侵害客體和對客體造成侵害程度。受侵害客體:

公民、法人和其它組織正當權益;社會秩序、公共利益;三是國家安全。對客體侵害程度:

普通損害;嚴重損害;尤其嚴重損害。第四部分定級方法第四部分:定級方法信息系統(tǒng)安全等級保護定級備案講義第22頁業(yè)務信息安全和系統(tǒng)服務安全信息系統(tǒng)與之相關受侵害客體和對客體侵害程度可能不一樣,而信息系統(tǒng)安全包含業(yè)務信息安全和系統(tǒng)服務安全兩方面,所以定級也應由這兩方面決定。對客體侵害外在表現(xiàn)為對定級對象破壞,其危害方式表現(xiàn)為對信息安全破壞和對信息系統(tǒng)服務破壞。第四部分定級方法信息系統(tǒng)安全等級保護定級備案講義第23頁信息安全

信息安全是指確保信息系統(tǒng)內(nèi)信息保密性、完整性和可用性等;系統(tǒng)服務安全 系統(tǒng)服務安全是指確保信息系統(tǒng)能夠及時、有效地提供服務,以完成預定業(yè)務目標;因為業(yè)務信息安全和系統(tǒng)服務安全受到破壞所侵害客體和對客體侵害程度可能會有所不一樣,在定級過程中,需要分別處理這兩種危害方式。第四部分定級方法信息系統(tǒng)安全等級保護定級備案講義第24頁第四部分定級方法確定受侵害客體:受侵害客體指等級保護對象(即定級對象)受到破壞時所侵害客體。包含以下三個方面:公民、法人和其它組織正當權益;社會秩序、公共利益;國家安全。信息系統(tǒng)安全等級保護定級備案講義第25頁第四部分定級方法對客體侵害程度:在客觀方面,對客體侵害外在表現(xiàn)為對定級對象破壞。危害方式表現(xiàn)為對信息安全破壞和對信息系統(tǒng)服務破壞??腕w侵害客觀方面-危害方式:對信息安全破壞:信息系統(tǒng)內(nèi)信息保密性、完整性和可用性。對信息系統(tǒng)服務破壞:信息系統(tǒng)能夠及時、有效地提供服務,以完成預定業(yè)務目標。信息系統(tǒng)安全等級保護定級備案講義第26頁確定業(yè)務信息安全等級第四部分定級方法業(yè)務信息安全被破壞時所侵害客體對對應客體侵害程度普通損害嚴重損害尤其嚴重損害公民、法人和其它組織正當權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統(tǒng)安全等級保護定級備案講義第27頁確定系統(tǒng)服務安全等級第四部分定級方法系統(tǒng)服務安全被破壞時所侵害客體對對應客體侵害程度普通損害嚴重損害尤其嚴重損害公民、法人和其它組織正當權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統(tǒng)安全等級保護定級備案講義第28頁信息安全和系統(tǒng)服務安全受到破壞后果:影響行使工作職能;造成業(yè)務能力下降;引發(fā)法律糾紛;造成財務損失;造成社會不良影響;對其它組織和個人造成損失;其它影響。

第四部分定級方法信息系統(tǒng)安全等級保護定級備案講義第29頁第四部分定級方法綜合判定侵害程度: 依據(jù)不一樣受侵害客體、不一樣危害后果分別確定其危害程度。造成普通損害造成嚴重損害造成尤其嚴重損害信息系統(tǒng)安全等級保護定級備案講義第30頁第四部分定級方法安全保護等級信息系統(tǒng)基本保護要求組合第一級S1A1G1第二級S1A2G2,S2A2G2,S2A1G2第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五級S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5信息系統(tǒng)安全等級保護定級備案講義第31頁定級普通流程確定作為定級對象信息系統(tǒng);確定業(yè)務信息安全受到破壞時所侵害客體;依據(jù)不一樣受侵害客體,從多個方面綜合評定業(yè)務信息安全被破壞對客體侵害程度;得到業(yè)務信息安全保護等級;第五部分初步定級第五部分:初步確定安全保護等級信息系統(tǒng)安全等級保護定級備案講義第32頁確定系統(tǒng)服務安全受到破壞時所侵害客體;依據(jù)不一樣受侵害客體,從多個方面綜合評定系統(tǒng)服務安全被破壞對客體侵害程度;得到系統(tǒng)服務安全保護等級;將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級較高者確定為定級對象安全保護等級。第六部分定級工作總結信息系統(tǒng)安全等級保護定級備案講義第33頁定級普通流程第六部分定級工作總結信息系統(tǒng)安全等級保護定級備案講義第34頁尤其注意 起傳輸作用基礎網(wǎng)絡要單獨定級,等級能夠參考在其上運行信息系統(tǒng)等級、網(wǎng)絡服務范圍和本身安全需求確定適當保護等級,不以在其上運行信息系統(tǒng)最高等級或最低等級為標準。第五部分初步定級信息系統(tǒng)安全等級保護定級備案講義第35頁信息系統(tǒng)等級對照表第五部分初步定級等級對象侵害客體侵害程度監(jiān)管強度第一級社會秩序和公共利益正當權益損害自主保護第二級正當權益嚴重損害指導損害第三級主要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督檢驗國家安全損害第四級社會秩序和公共利益尤其嚴重損害強制監(jiān)督檢驗國家安全嚴重損害第五級極端主要系統(tǒng)國家安全尤其嚴重損害專門監(jiān)督檢驗信息系統(tǒng)安全等級保護定級備案講義第36頁信息系統(tǒng)等級評審信息系統(tǒng)等級確定與審批第六部分評審、確定與審批第六部分:等級評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第37頁定級匯報定級匯報是為詳細了解和掌握定級過程情況由信息系統(tǒng)運行使用單位負責填寫文檔。定級匯報要在信息系統(tǒng)立案時一并提交。信息系統(tǒng)運行使用單位在起草定級匯報時能夠請技術支持單位幫助。第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第38頁定級匯報撰寫信息系統(tǒng)描述簡述確定該信息系統(tǒng)為定級對象理由。包含:該信息系統(tǒng)所承載業(yè)務主管單位和部門,該信息系統(tǒng)含有信息系統(tǒng)基本要素(有主機、網(wǎng)絡及相關配套設施組成人機系統(tǒng)),該信息系統(tǒng)承載著獨立或單一業(yè)務應用,業(yè)務應用主要包含哪些,各包含哪些功效等。第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第39頁信息系統(tǒng)安全保護等級確實定業(yè)務信息安全保護等級確實定。第一步:簡明描述信息系統(tǒng)所處理主要業(yè)務信息,包含各項業(yè)務主要數(shù)據(jù)項有哪些等。第二步:確定業(yè)務信息受到破壞后所侵害客體第三步:確定對客體侵害程度第四步:查表確定業(yè)務信息安全等級第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第40頁系統(tǒng)服務安全保護等級確實定第一步:簡明描述系統(tǒng)服務范圍、服務對象、服務要求等等。第二步:確定系統(tǒng)服務受到破壞后所侵害客體第三步:確定對客體侵害程度第四步:查表確定系統(tǒng)服務安全等級信息系統(tǒng)安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定。定級匯報模板第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第41頁調整對象:信息系統(tǒng)運行、使用單位確定信息系統(tǒng)安全保護等級 調整主體:信息系統(tǒng)決議者或上級主管部門 調整標準:只能調高等級而不能降低等級

第七部分等級調整第七部分:等級調整信息系統(tǒng)安全等級保護定級備案講義第42頁等級調整參考原因上級主管部門在政策和管理方面特殊要求。預測信息安全受到破壞后受侵害客體和對客體侵害程度可能會有較大改變。預測系統(tǒng)服務受到破壞后受侵害客體和對客體侵害程度伴隨業(yè)務發(fā)展會有較大改變。第七部分等級調整信息系統(tǒng)安全等級保護定級備案講義第43頁《管理方法》第十四條中要求:已運行(運行)第二級以上信息系統(tǒng),應該在安全保護等級確定后30日內(nèi),由其運行、使用單位到所在地設區(qū)市級以上公安機關辦理立案手續(xù)。新建第二級以上信息系統(tǒng),應該在投入運行后30日內(nèi),由其運行、使用單位到所在地設區(qū)市級以上公安機關辦理立案手續(xù)。第八部分立案工作第八部分:立案工作步驟信息系統(tǒng)安全等級保護定級備案講義第

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論